Lab IDOR - FakeBank Challenge
Level: Pemula Kembali ke Materi

Challenge: FakeBank IDOR

Skenario:

FakeBank baru saja meluncurkan sistem perbankan online baru. Sebagai seorang security tester, Anda diminta untuk menguji apakah ada kerentanan IDOR yang memungkinkan akses tidak sah ke akun pengguna lain.

Tujuan Challenge:

  1. Akses dashboard admin tanpa login dengan memanipulasi parameter URL
  2. Transfer sejumlah uang untuk mendapatkan flag
  3. Dapatkan flag dan verifikasi penyelesaian challenge
Challenge
Resources
Submit Flag
FakeBank Online
https://fakebank.lab.domain.com/login?auth=required&role=user

Selamat Datang di FakeBank Online

Silakan masuk untuk mengakses informasi akun Anda

Materi Bantuan & Tips

Gunakan resources berikut untuk membantu Anda menyelesaikan challenge ini:

IDOR (Insecure Direct Object Reference) adalah kerentanan keamanan web yang terjadi ketika aplikasi memberikan akses langsung ke objek berdasarkan input yang diberikan oleh pengguna tanpa verifikasi otorisasi yang tepat.

Dalam konteks aplikasi perbankan, ini bisa memungkinkan penyerang untuk:

  • Mengakses informasi akun pengguna lain
  • Melihat atau memodifikasi transaksi yang bukan miliknya
  • Mengakses fungsi administratif tanpa otorisasi yang tepat

Untuk mengidentifikasi kerentanan IDOR, perhatikan hal-hal berikut:

  1. Identifikasi parameter yang berhubungan dengan objek - Perhatikan ID, referensi, atau pengidentifikasi lain yang mungkin merujuk ke sumber daya server
  2. Cek penerapan kontrol akses - Apakah aplikasi memverifikasi bahwa pengguna memiliki hak untuk mengakses sumber daya yang diminta?
  3. Manipulasi parameter - Coba ubah nilai parameter dan amati respons aplikasi

Berikut adalah tips untuk menyelesaikan challenge FakeBank IDOR:

  1. Perhatikan URL saat berada di halaman login dan identifikasi parameter yang mungkin berhubungan dengan mekanisme autentikasi atau kontrol akses
  2. Coba manipulasi parameter auth dan role pada URL login
  3. Parameter auth=required dapat diubah menjadi nilai lain seperti auth=bypass atau auth=false
  4. Parameter role=user dapat diubah menjadi role=admin untuk mendapatkan akses administrator 
// Contoh manipulasi URL untuk mengeksploitasi IDOR

1. URL awal:
https://fakebank.lab.domain.com/login?auth=required&role=user

2. URL dimanipulasi:
https://fakebank.lab.domain.com/login?auth=bypass&role=admin
- atau -
https://fakebank.lab.domain.com/login?auth=false&role=admin
- atau -
https://fakebank.lab.domain.com/dashboard?auth=bypass&role=admin

Verifikasi Flag

Telah menyelesaikan challenge? Masukkan flag yang Anda dapatkan di bawah ini untuk verifikasi.

Petunjuk & Hints

Petunjuk Umum

Challenge ini berfokus pada kerentanan IDOR (Insecure Direct Object Reference) yang memungkinkan akses tidak sah ke akun pengguna lain.

Perhatikan URL di halaman login dan identifikasi parameter yang digunakan untuk autentikasi. Parameter auth dan role bisa dimanipulasi untuk melewati proses login.

Coba untuk mengubah auth=required menjadi auth=bypass dan role=user menjadi role=admin.

Setelah berhasil mengakses dashboard admin, lakukan transfer dana ke akun tujuan yang telah ditentukan. Setelah transfer berhasil, Anda akan mendapatkan flag.

Kembali ke Materi Pembelajaran

Selamat!

Anda berhasil menyelesaikan challenge IDOR FakeBank!

Flag Anda:

FLAG{ID0R_F4K3B4NK_4DM1N_4CC3SS_2025}